¿Qué es CAPTCHA? ¿Cómo sabe que no eres un robot?

¿Por qué los sitios web utilizan CAPTCHA? ¿De dónde viene esta protección? ¿Y por qué es algo tan común?

Cualquier sitio web puede ser blanco de ataques cibernéticos, abuso digital y robots que recopilan información personal de los visitantes con fines maliciosos. CAPTCHA fue diseñado para proteger contra tales abusos y ataques de bots.

Incluso en la redacción, al registrarnos, el ordenador comprueba si somos un robot o una persona. A veces simplemente necesitamos marcar la casilla, y otras veces necesitamos encontrar en pantalla todas las fotografías con una boca de agua o algo similar. El motivo de esta diferencia lo descubrirás a continuación.

¿Qué es un CAPTCHA de todos modos?

CAPTCHA es un acrónimo de "Prueba pública de Turing completamente automatizada para distinguir entre computadoras y humanos". En pocas palabras, es una prueba aleatoria con un desafío y una solución específica que los sitios web utilizan para defenderse de los ataques. 40 % de todo el tráfico global en línea lo realizan "bots", por lo que puedes imaginar fácilmente el daño que pueden causar. Si los reconoce desde el principio y permite que solo personas accedan al sitio web, puede ahorrarse muchos problemas.

¿Cómo evolucionó la tecnología CAPTCHA?

Las primeras pruebas CAPTCHA aparecieron a finales de los años 90 y consistían en imágenes distorsionadas con una combinación de letras y números. La tecnología fue desarrollada por varios grupos diferentes con el objetivo de facilitar la lucha contra los bots y los piratas informáticos. ¿Recuerdas el buscador AltaVista? Sus desarrolladores querían evitar que los bots agregaran direcciones web maliciosas a la base de datos.

El término CAPTCHA fue utilizado por primera vez en 2003 por un grupo de investigadores en informática de la Universidad Carnegie Mellon. El impulso para su desarrollo lo dio el discurso del director del entonces gigante Yahoo, quien habló de los problemas con las arañas que creaban millones de direcciones de correo electrónico falsas.

Un grupo de investigadores creó un programa informático que primero generaba texto aleatorio, luego generaba una imagen distorsionada de ese texto (que se llamaba CAPTCHA), y finalmente pedía al usuario que lo resolviera y hiciera clic en el botón "No soy un robot". caja. En ese momento, la tecnología de reconocimiento óptico de caracteres (OCR) no logró descifrar este simple rompecabezas, por lo que los bots no pasaron la prueba CAPTCHA como apuesta. Poco después, Yahoo exigió a sus usuarios que pasaran una prueba CAPTCHA antes de iniciar sesión en una dirección de correo electrónico. La disminución en el número de bots también ha llevado a otras empresas a implementar la protección CAPTCHA.

Sin embargo, inevitablemente los piratas informáticos desarrollaron algoritmos que podían eludir de forma fiable la nueva protección. Esta batalla continúa hasta el día de hoy.

reCAPTCHA v1: una actualización que no pudo detener los bots

En 2007, Luis von Ahn, miembro del equipo original que desarrolló el sistema CAPTCHA, presentó reCAPTCHA v1, con el que quería ponérselo más difícil a los piratas informáticos y mejorar la precisión del reconocimiento óptico de caracteres utilizado para digitalizar textos impresos. Los piratas informáticos encontraron imágenes aún más distorsionadas y pronto las palabras también fueron tachadas.

Mejoró el OCR al reemplazar una imagen de texto confuso generado aleatoriamente con dos imágenes confusas de palabras escaneadas de textos reales mediante dos programas de OCR diferentes. La primera palabra, o palabra de control, fue una palabra que ambos programas OCR reconocieron correctamente; la segunda palabra era una palabra que no fue reconocida por el programa OCR. Si el usuario identificó correctamente la palabra de control, el programa reCAPTCHA asumió que el usuario era humano.

Dos años más tarde, Google intervino, compró la nueva tecnología y la utilizó para digitalizar textos para Google Books y otorgó licencias a otras empresas. Al mismo tiempo, el desarrollo de la tecnología OCR fue un gran beneficio para los piratas informáticos, quienes la utilizaron diligentemente para desarrollar algoritmos avanzados que comenzaron a resolver con éxito nuevos desafíos reCAPTCHA. En 2012, surgieron desafíos de imágenes reCAPTCHA que podían engañar al OCR y al mismo tiempo ser más amigables con los dispositivos móviles.

reCAPTCHA v2: mejor pero invasivo para los usuarios

La segunda versión (reCAPTCHA v2 o reCAPTCHA sin CAPTCHA) eliminó por completo los desafíos de texto e imagen. En su lugar, se empezó a utilizar una simple casilla de verificación "No soy un robot" y, entre bastidores, reCAPTCHA v2 analiza las interacciones del usuario con las páginas web, la velocidad a la que escribe el usuario y también analiza las cookies, el historial del dispositivo y la dirección IP. . También rastrea los movimientos del mouse. A los usuarios que encuentran sospechoso el sistema se les presenta un desafío CAPTCHA, mientras que otros pueden continuar navegando.

Esta nueva protección tiene varios inconvenientes. Debido a que depende en gran medida de las cookies, es más amigable para los usuarios del navegador Chrome y para aquellos que iniciaron sesión con una cuenta de Google. Por ejemplo: los usuarios de Firefox (o Brave, Opera...) que tienen las cookies de terceros desactivadas tienen más posibilidades de ser cuestionados por el CAPTCHA.

Sin embargo, con el avance de la inteligencia artificial, los bots pueden resolver incluso los desafíos reCAPTCHA más avanzados. Las personas malintencionadas también pueden ayudarse con estas granjas de CAPTCHA, que son un servicio automatizado en el que los desarrolladores de bots utilizan mano de obra humana barata para resolver los desafíos de CAPTCHA.

Era más que evidente que la protección existente no era suficiente.

reCAPTCHA v3: dependencia aún mayor de la IA

La tercera actualización elimina por completo la casilla de verificación "No soy un robot" y depende aún más de la inteligencia artificial y su capacidad para analizar factores de alarma. reCAPTCHA v3 se integra con el sitio web a través de una API de JavaScript y se ejecuta en segundo plano. Califica a los usuarios en una escala de 0 (bot) a 1 (humano) según sus acciones en línea. Los propietarios o administradores de sitios web pueden configurar acciones automáticas que se activan en caso de que reCAPTCHA reconozca un bot potencial. Por ejemplo, puede requerir autenticación multifactor antes de iniciar sesión en un perfil, un moderador debe aprobar primero un comentario en un foro, etc.

El método es más amigable para los usuarios que ni siquiera saben que este tipo de protección se está implementando en segundo plano. Sin embargo, la cuestión de la privacidad siempre está presente aquí y, al mismo tiempo, con la nueva generación, los administradores web tienen más trabajo que hacer, quienes deben decidir dónde está el umbral para una determinada respuesta.

¿Para qué se utiliza CAPTCHA?

• Evitar registros falsos que los bots aprovechan el sistema para enviar spam, códigos maliciosos y otras actividades cibernéticas.
• CAPTCHA se utiliza en algunos lugares para proteger contra transacciones sospechosas. Hace años tuvimos una crisis de chips, que los bots aprovecharon, por ejemplo, para comprar mayores existencias de tarjetas gráficas, que luego vendieron a precios más altos.
• Las encuestas en línea, los colegios electorales y las encuestas de opinión son a menudo el objetivo de los robots que quieren distorsionar los resultados.
• Los estafadores y ciberdelincuentes suelen utilizar comentarios y reseñas de productos para difundir estafas y malware, o para mejorar artificialmente la clasificación de un determinado producto en una tienda online (Amazon, eBay...).

Hay muchos ejemplos de uso, pero lo que tienen en común es la batalla con los bots, que son utilizados por malhechores porque quieren beneficiarse a expensas de los visitantes en línea. CAPTCHA no es una protección a prueba de balas, pero sin duda es importante para la integridad de la web y sus visitantes.